Главная › Настройки › Файл содержащий параметры безопасности носит название. Локальные параметры безопасности. Использование оснастки «Шаблоны безопасности»

Файл содержащий параметры безопасности носит название. Локальные параметры безопасности. Использование оснастки «Шаблоны безопасности»

Изобретение относится к технике связи и может использоваться в системах технологической связи. Технический результат состоит в повышении надежности связи. Для этого устройство включает интерфейс (114) технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер (106) соединяется с интерфейсом (114) технологической связи. Хранилище (116) правил соединяется с контроллером (106) и имеет по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер (106) применяет по меньшей мере одно правило передачи пакетов технологической связи по меньшей мере к одному пакету технологической связи, принятому от интерфейса (114) технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи. 4 н. и 12 з.п. ф-лы, 6 ил.

Уровень техники

Современные технологические установки используются, чтобы предоставлять и/или производить множество продуктов и материалов, используемых каждый день. Примеры таких технологических установок включают в себя установки для переработки нефти, установки для фармацевтического производства, установки для химической обработки, целлюлозные и другие технологические установки. В таких установках сеть для управления и измерения показателей процесса может включать в себя тысячи или даже десятки тысяч различных полевых устройств, связывающихся с диспетчерским пультом, а иногда друг с другом, чтобы управлять процессом. Допуская, что неисправности в данном полевом устройстве могут вывести процесс из-под управления, физические характеристики и электрическая связь полевых устройств, как правило, подчиняются строгим спецификациям.

Традиционно, полевые устройства в данной технологической установке, как правило, имели возможность связываться через контур или сегмент управления процессом с диспетчерским пультом и/или другими полевыми устройствами через проводные соединения. Например, протокол проводной связи процесса известен как протокол взаимодействия с удаленным датчиком с шинной адресацией (HART ®). HART ® -связь является одним из основных протоколов связи, используемых в технологических процессах. В последнее время стало возможным, и потенциально желательным в некоторых случаях, разрешать доступ технологических установок к Интернету. Хотя такой признак обеспечивает возможность взаимодействия с технологической установкой практически с любого подключенного компьютера в любой точке земного шара, он также предоставляет потенциал для злоумышленника, такого как хакер, чтобы пытаться воздействовать на технологическую установку без перемещения к физическому местоположению технологической установки.

Другое недавнее усовершенствование относительно технологических установок заключается в использовании беспроводной связи. Такая беспроводная связь упрощает конструкции технологических установок в том аспекте, что больше не требуется обеспечивать прокладку длинных проводов к различным полевым устройствам. Кроме того, один такой беспроводной протокол, WirelessHART (IEC 62591), расширяет традиционный протокол HART ® и обеспечивает значительно возросшие скорости передачи данных. Например, WirelessHART поддерживает передачу данных вплоть до 250 Кбит/с. Соответствующие части спецификации Wireless HART® включают в себя: HCF_Spec 13, версия 7.0; спецификацию HART 65 - спецификацию беспроводного физического уровня; спецификацию HART 75 - спецификацию канального уровня TDMA (TDMA относится к множественному доступу с временным разделением каналов); спецификацию HART 85 - спецификацию управления сетью; спецификацию HART 155 - спецификацию беспроводных команд; и спецификацию HART 290 - спецификацию беспроводных устройств. Хотя беспроводная связь предоставляет множество преимуществ для технологических установок, она также предоставляет возможность потенциального подключения к устройствам при физическом приближении к технологической установке и возможность воздействия на сеть беспроводной связи.

Допуская современную связность технологических установок, теперь жизненно важно, чтобы технологическая связь была защищена от проникновения и действий злоумышленников. Это применимо к технологическим установкам, которые могут быть подключены к Интернету, технологическим установкам, которые применяют беспроводную технологическую связь, или и к тем, и к другим. Соответственно, обеспечение технологической установки возможностью обнаруживать и предотвращать проникновение в контур технологической связи дополнительно поможет обезопасить различные технологические установки, которые строятся на такой технологической связи.

Сущность изобретения

Устройство технологической связи включает в себя интерфейс технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер соединяется с интерфейсом технологической связи. Хранилище правил соединяется с контроллером и имеет, по меньшей мере, одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер применяет, по меньшей мере, одно правило передачи пакетов технологической связи, по меньшей мере, к одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет, по меньшей мере, одному правилу передачи пакетов технологической связи.

Краткое описание чертежей

Фиг. 1 - схематичный вид системы технологической связи в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 2 - схематичный вид системы технологической связи и управления, в которой варианты осуществления настоящего изобретения в высокой степени применимы.

Фиг. 3 - схематичный вид другого окружения технологической связи и управления, с которым варианты осуществления настоящего изобретения особенно полезны.

Фиг. 4 - схематичный вид устройства защиты технологической связи в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 5 - блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения.

Фиг. 6 - блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с другим вариантом осуществления настоящего изобретения.

Подробное описание иллюстративных вариантов осуществления

Варианты осуществления настоящего изобретения, в целом, максимально используют специфическое знание протокола HART ® (как проводного, так и беспроводного) и/или описаний устройств (DD) HART ® , чтобы наблюдать на предмет аномалий за сетевым трафиком технологической связи, приходящим в контур технологической связи, покидающим контур технологической связи или даже пересекающим контур технологической связи. В то время как варианты осуществления настоящего изобретения, в целом, описываются относительно контуров технологической связи HART ® , варианты осуществления настоящего изобретения могут быть применены на практике с любыми подходящими протоколами технологической связи, которые поддерживают описания устройств.

Протокол HART ® имеет гибридный физический уровень, состоящий из цифровых сигналов связи, наложенных на стандартный 4-20 мА аналоговый сигнал. Скорость передачи данных равна приблизительно 1,2 Кбит/с. HART ® -связь является одним из основных протоколов связи в индустрии технологических процессов. И беспроводные, и проводные способы HART ® -связи совместно используют, по существу, аналогичный уровень приложений. Кроме того, содержимое команд как беспроводной, так и проводной HART ® -связи является идентичным. Соответственно, в то время как физические уровни могут отличаться, на уровне приложений эти два протокола технологической связи очень похожи.

Безопасность сети технологической связи по и через HART ® -сети является важной, и становится более важной, поскольку трафик HART ® -сети может теперь передаваться через TCP/IP-сети, а также через беспроводные сети. Некоторая безопасность сети была обеспечена посредством устройств, таких как устройства, продаваемые под торговым обозначением Model 1420 Wireless Gateway от компании Emerson Process Management, из Шанхассена, штат Миннесота. Это устройство предоставляет возможность аутентифицировать отправителя и получателя, подтверждать, что данные действительны, шифровать данные технологической связи и управлять периодическими изменениями ключей шифрования автоматически. В то время как безопасность технологической связи, обеспечиваемая посредством Model 1420, неоценима в современных сетях технологической связи, варианты осуществления настоящего изобретения, в целом, строятся на безопасности, обеспечиваемой посредством 1420 Wireless Gateway, посредством привлечения дополнительных знаний о самом протоколе HART ® , описаний устройств (DD) HART ® или их комбинации. Хотя варианты осуществления настоящего изобретения применимы к любому устройству, которое имеет доступ к технологической связи, предпочтительно, чтобы варианты осуществления настоящего изобретения были осуществлены либо в устройстве брандмауэра, шлюзе, таком как улучшенный беспроводной шлюз, либо в устройстве типа точки доступа.

Фиг. 1 - это схематичный вид системы 10 технологической связи в соответствии с вариантом осуществления настоящего изобретения. Система 10 включает в себя рабочую станцию 12 и сервер 14, соединенные с возможностью связи друг с другом через локальную вычислительную сеть 16 предприятия. Сеть 16 соединяется с Интернетом 18 через брандмауэр 20 локальной вычислительной сети. Брандмауэр 20 локальной вычислительной сети - это хорошо известное устройство, предоставляющее только выбранный TCP/IP-трафик через него. В варианте осуществления, иллюстрированном на фиг. 1, устройство 22 защиты технологической связи соединяется с LAN 16 предприятия посредством соединения 24 и дополнительно соединяется с устройствами 1-n через порт 26. Устройство 22 защиты технологической связи защищает сегменты/контуры технологической связи от злонамеренной деятельности, происходящей через Интернет 18 и/или LAN 16 предприятия. Процессор в устройстве 22 защиты технологической связи выполняет инструкции программного обеспечения, которые способны принимать один или более пакетов технологической связи и тестировать, удовлетворяет ли пакет(ы) одному или более правилам, которые основываются, в частности, на HART ® -правилах технологической связи, требованиях к описанию устройства или их комбинации.

Фиг. 2 - это схематичный вид системы 50 технологической связи и управления, в которой варианты осуществления настоящего изобретения в высокой степени применимы. Множество рабочих станций 52, 54 и 56 соединяются вместе через LAN 16 предприятия. Дополнительно, шлюз 58 беспроводной технологической связи также соединяется с LAN 16 через соединение 60. Структура, показанная на фиг. 2, является текущим окружением, в котором работает Model 1420 Smart Wireless Gateway. Шлюз 58 связывается с одним или более полевыми устройствами 62 через WirelessHART ® -связь. Соответственно, варианты осуществления настоящего изобретения могут быть применены на практике с помощью процессора или другого подходящего контроллера, расположенного в шлюзе 58.

Фиг. 3 - это схематичный вид другого окружения технологической связи и управления, с которым варианты осуществления настоящего изобретения особенно полезны. В частности, один или более шлюзов (1-n) 70, 72 соединяются с возможностью связи через устройство 74. Каждый шлюз может связываться с одной или более точками доступа. В соответствии с вариантом осуществления настоящего изобретения одна из точек 76 доступа конфигурируется, посредством аппаратных средств, программного обеспечения или их комбинации, чтобы принимать пакеты технологической связи и изучать пакеты технологической связи, чтобы определять, соответствует ли связь одному или более правилам, которые основываются на HART ® -протоколе, описаниях устройств или их комбинации. Точка 76 доступа прослушивает данные в беспроводной сети и изучает пакеты, когда они поступают. В результате проверок некоторые аспекты трафика связи могут отслеживаться (адрес источника, интенсивность входящего потока, известное устройство, новое устройство, запросы объединения и прочие), и статистические данные и/или предупреждения могут предоставляться шлюзу при обнаружении событий. Варианты осуществления настоящего изобретения также включают в себя использование множества шлюзов и соответствующих точек доступа, чтобы предоставлять дублирующую пару.

Фиг. 4 - это схематичный вид устройства защиты технологической связи в соответствии с вариантом осуществления настоящего изобретения. Устройство 100 защиты включает в себя сетевой интерфейс 102, соединяемый с сетью передачи данных, такой как Ethernet-сеть передачи данных. Порт 102 соединяется с физическим уровнем 104 сетевого интерфейса, чтобы формировать и принимать пакеты передачи данных в соответствии с известными способами. Физический уровень 104 сетевого интерфейса соединяется с контроллером 106, который предпочтительно является микропроцессором, который включает в себя, или соединяется с подходящей памятью, такой как оперативное запоминающее устройство, постоянное запоминающее устройство, флэш-память и т.д., чтобы хранить и выполнять инструкции программы. Устройство 100 защиты также предпочтительно включает в себя порт 108 проводной технологической связи и/или порт 110 беспроводной технологической связи, соединенный с антенной 112. В вариантах осуществления, где устройство 100 защиты осуществляется в беспроводной точке доступа, порт проводной технологической связи не требуется. Каждый из портов 108, 110 может быть соединен с HART ® -интерфейсом 114 технологической связи. Интерфейс 114 предоставляет возможность контроллеру 106 связываться с внешними устройствами, такими как полевые устройства, с помощью известного HART ® -протокола. В некоторых вариантах осуществления HART ® -связь может быть обеспечена через IP-сеть, таким образом, физический уровень 104 сетевого интерфейса может также быть источником HART ® -пакетов.

В соответствии с вариантом осуществления настоящего изобретения устройство 100 защиты включает в себя хранилище 116 правил. В необязательном порядке, устройство 100 защиты может включать в себя хранилище 118 описаний устройств. Хранилище 116 правил включает в себя энергонезависимую память, которая хранит одно или более правил, которые могут исполняться во время технологической HART ® -связи, основанной на лежащем в основе понимании HART ® -протокола. Хранилище 116 правил предоставляет возможность контроллеру 106 определять, являются ли конструкция и/или содержимое пакетов в HART ® -сети допустимыми. Дополнительно, может быть определена допустимость источника и получателя пакетов. Наконец, содержимое самого пакета может быть проанализировано, чтобы определять, является ли оно правильным. Например, искаженный пакет может иметь плохой результат проверки циклическим избыточным кодом, число байтов, размер полезной нагрузки и т.д. Если пакет является недопустимым, устройство 100 защиты не будет пересылать пакет запрошенному получателю. Дополнительно, и/или альтернативно, устройство 100 защиты может сохранять данные о событии, относящиеся к обнаружению искаженного пакета, и/или отправлять соответствующее сообщение ответственной стороне. Кроме того, контроллер 106 может отслеживать и/или анализировать данные о событии, так что, если множество искаженных пакетов обнаруживаются от одного источника в конкретном периоде времени, контроллер 106 может определять, что в настоящее время выполняется активная атака. Если это происходит, контроллер 106 может уведомлять пользователя и/или ответственную сторону, что может выполняться атака, вместе с деталями подозреваемого источника атаки. Более того, контроллер 106 может действовать, чтобы отбрасывать все пакеты от этого источника до тех пор, пока не вмешается пользователь.

Как иллюстрировано на фиг. 4, устройство 100 защиты может также включать в себя хранилище 118 описаний устройств. С текущим состоянием уровня технологий памяти экономически осуществимо, чтобы хранилище 118 было достаточно большим, чтобы содержать описания устройств для всех известных полевых устройств, которые связываются в соответствии с HART ® -протоколом, на дату производства устройства 100 защиты. Кроме того, когда производятся новые устройства HART ® -связи, хранилище 118 описаний устройств может обновляться динамически посредством порта 102 связи сети передачи данных. Поддержание хранилища 118 исчерпывающих описаний устройств предоставляет возможность выполнения дополнительных проверок и/или тестов над пакетами технологической связи. Например, если данный пакет технологической связи является пакетом от полевого устройства, которое, согласно своему описанию устройства, известно только как обеспечивающее измерение температуры, пакет, указывающий давление процесса, от такого полевого устройства будет считаться искаженным, даже если пакет иначе согласуется со всеми правилами, изложенными в хранилище 116 правил.

Существует множество различных типов команд, которые используются в HART ® -протоколе. Эти типы команд включают в себя универсальные команды, общие команды, беспроводные команды, команды семейства устройств и зависящие от конкретного устройства команды. За исключением зависящих от конкретного устройства команд, по меньшей мере, некоторое знание команд в каждом типе может быть известно на основе самой спецификации HART ® . Кроме того, даже зависящие от конкретного устройства команды могут быть тщательно проверены, если устройство защиты технологической связи содержит описание устройства относительно отдельного конкретного полевого устройства.

Одним примером правила, которое может быть применено на уровне приложений пакета HART ® -протокола, является следующее. Поскольку, для данной версии HART ® , число байтов относительно всех до единой команд известно, если пакет указывает команду, известное число байт может применяться для пакета. Даже для зависящих от конкретного устройства команд могут быть предусмотрены некоторые правила. В частности, диапазон команд может быть протестирован, чтобы определять, находится ли он в допустимом диапазоне (таком как 128-240 и 64768-65021). Дополнительно, итоговое число байтов пакета может быть определено и сравнено с содержимым поля числа байтов, чтобы проверять на предмет допустимого соответствия.

Одним из значимых преимуществ осуществления функциональности устройства защиты технологической связи в шлюзе, таком как Model 1420, является то, что шлюз знает обо всех индивидуальных полевых устройствах в сети. Кроме того, шлюз имеет дополнительное преимущество в том, что он имеет доступ ко всей информации, требуемой (особенно ключам дешифрования), чтобы дешифровать и проверять все HART ® -пакеты. Дополнительно, устройство защиты, предпочтительно осуществленное в шлюзе, может создавать базу данных или список известных получателей/беспроводных устройств и гарантировать, что сообщения только для таких устройств отправляются/пересылаются. Более того, устройство защиты может проверять и/или предоставлять возможность пересылки пакетов только от известных/сконфигурированных источников. Наконец, как изложено выше, сама конструкция пакета может быть проверена, чтобы определять, является ли содержимое заголовка правильным, соответствует ли число байтов фактическому размеру пакета, допустима ли CRC-контрольная сумма, и допустим ли адрес получателя. В дополнение к этим мерам безопасности, процессор контроллера устройства защиты может реагировать на динамические изменения связи. В частности, известные нейронно-сетевые алгоритмы и/или алгоритмы искусственного интеллекта могут применяться, чтобы предоставлять возможность контроллеру 106 фактически изучать трафик сети технологической связи. Дополнительно, или альтернативно, может поддерживаться набор статистических данных относительно сетевой передачи данных и/или различных получателей и источников. Если обнаруживаются изменения относительно изученной нормальной связи и/или статистически сохраненных параметров, предупреждение может передаваться ответственной стороне посредством либо порта 102 сети передачи данных, либо порта 108, 110 технологической связи. Дополнительно, подозрительные модели поведения связи могут быть специально идентифицированы на основе правил. Например, если контроллер 106 наблюдает за множеством запросов адресов получателей, где ID устройство просто увеличивается или уменьшается с каждым запросом, модель поведения будет выглядеть как приложение, отыскивающее устройство. Такой поиск может рассматриваться как злонамеренный. Дополнительно, запросы адреса устройства, которые циклически увеличивают или уменьшают расширенный тип устройства, могут также означать приложение, отыскивающее попадание. Это также будет считаться признаком злого умысла. Более того, запросы адреса получателя, которые включают в себя просто увеличивающиеся или уменьшающиеся поля сообщения, такие как команда, число байтов, поля данных, могут указывать приложение, которое пытается найти доступное устройство, и/или разрывать сеть технологической связи. Обнаружение такой модели поведения может считаться признаком злого умысла.

В случае, когда признак злого умысла обнаруживается, он предпочтительно регистрируется локально в устройстве защиты. Дополнительно, устройство защиты может включать в себя простой протокол управления сетью или вариант системного журнала, чтобы сообщать событие и/или дополнительную информацию о состоянии ответственной стороне или приложению информационной технологии. Системный журнал - это хорошо известный механизм регистрации, используемый приложениями серверного типа, чтобы регистрировать события/предупреждения на внешнем сервере или в базе данных для дальнейшего анализа.

Фиг. 5 - это блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения. Способ 200 начинается на этапе 202, где устройство защиты или шлюз технологической связи принимает, по меньшей мере, один пакет технологической связи и дешифрует пакет. На этапе 204, способ 200 применяет, по меньшей мере, одно правило по отношению к дешифрованному пакету, где правило основывается на априорном знании HART-протокола. Как изложено выше, одним примерным правилом является правило для данной HART-команды, число байтов пакета должно соответствовать числу, изложенному в HART-спецификации. На этапе 206 способ 200 определяет, удовлетворил ли дешифрованный пакет всем правилам, примененным на этапе 204. Если все правила были успешно удовлетворены, тогда управление переходит к этапу 208, где пакет пересылается своему намеченному получателю. Если, однако, пакет не удовлетворяет, по меньшей мере, одному правилу, тогда управление переходит к этапу 210, где событие безопасности предпочтительно регистрируется или событие формируется, и пакет блокируется от дальнейшей передачи намеченному получателю.

Фиг. 6 - это блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения. Способ 300 начинается на этапе 302, где устройство защиты или шлюз технологической связи принимает, по меньшей мере, один пакет технологической связи и дешифрует пакет, когда требуется. На этапе 304, способ 300 применяет, по меньшей мере, одно правило по отношению к дешифрованному пакету, где правило основывается на описании устройства (DD) протокола технологической связи (такого как HART или FOUNDATION Fieldbus). Как изложено выше, одним примерным правилом, которое основывается на описании устройства, может быть технологическая величина датчика температуры, предоставляющего значение давления технологической жидкости. На этапе 306 способ 300 определяет, удовлетворил ли дешифрованный пакет всем правилам, примененным на этапе 304. Если все правила были успешно удовлетворены, тогда управление переходит к этапу 308, где пакет пересылается своему намеченному получателю. Если, однако, пакет не удовлетворяет, по меньшей мере, одному правилу, тогда управление переходит к этапу 310, где событие безопасности предпочтительно регистрируется, и пакет блокируется от дальнейшей передачи намеченному получателю.

Способы 200 и 300 не являются взаимоисключающими. Вместо этого, положительный результат одного способа может быть предоставлен как входные данные для другого способа, чтобы обеспечивать обнаружение и предотвращение проникновения в технологическую установку на основе как подробного знания пакетов технологической связи, так и описаний устройств.

Хотя настоящее изобретение описано со ссылками на предпочтительные варианты осуществления, специалисты в данной области техники должны понимать, что изменения могут быть сделаны в форме и деталях без отступления от существа и объема изобретения.

1. Устройство технологической связи, содержащее:

хранилище правил, соединенное с контроллером, причем в хранилище правил имеется по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи;
хранилище описаний устройств, соединенное с контроллером, при этом в хранилище описаний устройств имеется по меньшей мере одно описание устройства, относящееся к технологической величине, измеряемой по меньшей мере одним полевым устройством, причем это по меньшей мере одно полевое устройство описывается данным по меньшей мере одним описанием устройства, хранящимся в хранилище описаний устройств,
при этом контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи и по меньшей мере одно описание устройства к по меньшей мере одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи или когда по меньшей мере один пакет технологической связи не в соответствии с по меньшей мере одним описанием устройства для по меньшей мере одного полевого устройства; и

2. Устройство технологической связи по п. 1, при этом протоколом технологической связи является HART-протокол (протокол взаимодействия с удаленным датчиком с шинной адресацией).

3. Устройство технологической связи по п. 1, при этом протокол накладывает цифровой сигнал на 4-20 мА аналоговый токовый сигнал.

4. Устройство технологической связи по п. 1, в котором интерфейс технологической связи является проводным интерфейсом технологической связи.

5. Устройство технологической связи по п. 1, в котором интерфейс технологической связи является беспроводным интерфейсом технологической связи.

6. Устройство технологической связи по п. 5, в котором интерфейс технологической связи также является проводным интерфейсом технологической связи.

7. Устройство технологической связи по п. 1, в котором контроллер сконфигурирован дешифровать по меньшей мере один пакет технологической связи перед применением по меньшей мере одного правила передачи пакетов технологической связи.

8. Устройство технологической связи по п. 7, при этом устройство технологической связи осуществлено в шлюзе технологической связи.

9. Устройство технологической связи по п. 1, в котором по меньшей мере одно правило передачи пакетов технологической связи относит допустимое число байтов пакета к команде протокола технологической связи, содержащейся в пакете.

10. Устройство технологической связи по п. 1, в котором по меньшей мере одно правило передачи пакетов технологической связи включает в себя допустимый диапазон команд.

11. Устройство технологической связи по п. 1, при этом устройство технологической связи осуществлено в точке доступа.

12. Способ обеспечения защиты технологической связи, содержащий этапы, на которых:
получают по меньшей мере один пакет технологической связи, посланный из полевого устройства, в соответствии с протоколом технологической связи;
применяют по меньшей мере одно правило по отношению к этому пакету технологической связи, причем данное по меньшей мере одно правило основывается на протоколе технологической связи;
применяют по меньшей мере второе правило по отношению к этому пакету технологической связи, причем данное по меньшей мере второе правило основывается на описании устройства для полевого устройства, относящемся к технологической величине, измеряемой полевым устройством;
определяют событие на основе того, удовлетворил ли упомянутый по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила и упомянутого по меньшей мере второго правила; и
выборочно пересылают упомянутый по меньшей мере один пакет технологической связи на основе того, удовлетворил ли этот по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила и упомянутого по меньшей мере второго правила.

13. Способ по п. 12, дополнительно содержащий этап, на котором регистрируют событие.

14. Устройство технологической связи, содержащее:
интерфейс технологической связи, выполненный с возможностью осуществления связи с по меньшей мере одним полевым устройством по контуру технологической связи в соответствии с протоколом технологической связи;
контроллер, соединенный с интерфейсом технологической связи;
хранилище описаний устройств, соединенное с контроллером, причем в хранилище описаний устройств имеется по меньшей мере одно правило передачи пакетов технологической связи, которое основано на описании устройства, относящемся к технологической величине, измеряемой по меньшей мере одним полевым устройством, для этого по меньшей мере одного полевого устройства,
при этом контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи к по меньшей мере одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи; и
сетевой интерфейс, соединенный с контроллером, при этом контроллер сконфигурирован пересылать пакет технологической связи через сетевой интерфейс, если пакет технологической связи удовлетворяет всем правилам передачи пакетов технологической связи.

15. Способ обеспечения защиты технологической связи, содержащий этапы, на которых:
получают по меньшей мере один пакет технологической связи в соответствии с протоколом технологической связи, причем этим по меньшей мере одним пакетом технологической связи переносится информация в по меньшей мере одно полевое устройство или из него;
извлекают описание устройства из хранилища описаний устройств в устройстве защиты технологической связи, которое описывает по меньшей мере одно полевое устройство и относится к технологической величине, измеряемой этим по меньшей мере одним полевым устройством;
применяют по меньшей мере одно правило по отношению к данному пакету технологической связи, причем это по меньшей мере одно правило основано на извлеченном описании устройства;
определяют событие на основе того, удовлетворил ли упомянутый по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила; и
выборочно пересылают упомянутый по меньшей мере один пакет технологической связи на основе того, удовлетворил ли этот по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила.

16. Способ по п. 15, дополнительно содержащий этап, на котором регистрируют событие.

Похожие патенты:

Изобретение относится к способу и устройству для транспортировки сегментов инициализации динамической адаптивной потоковой передачи по HTTP (DASH) в качестве фрагментов описания пользовательских услуг.

Изобретение относится к области беспроводной связи. Технический результат изобретения заключается в совместимости стандарта цифровой улучшенной беспроводной связи (DECT) с VoIP-сетью с возможностью плавной передачи обслуживания сеансов между базовыми станциями.

Изобретение предназначено для кормления и поения домашних животных, в частности кошек и собак. В корпусе кормушки установлены по меньшей мере одно устройство подачи еды в лоток, по меньшей мере одна видеокамера, микрофон, монитор или средство для подключения планшетного компьютера или смартфона, по меньшей мере один динамик, модуль связи, блок питания и средство управления.

Изобретение относится к области связи. Техническим результатом является возможность осуществлять сквозную дифференцированную обработку потоков, обеспечить дифференцированное впечатление от услуги для разных уровней пользователей и разных типов услуг и эффективно повысить коэффициент использования радиоресурсов.

Изобретение относится к способу и сетевому объекту для регистрации объекта пользователя в сети связи. Технический результат заключается в обеспечении регистрации объекта пользователя в сети связи через другую сеть связи. Способ регистрации объекта пользователя в первой сети связи, где объект пользователя и объект доступа, обеспечивающий доступ к первой сети связи, регистрируются во второй сети связи, включает: передачу по меньшей мере одного сообщения регистрации для регистрации указанного объекта пользователя в первой сети связи между объектом пользователя и объектом доступа по второй сети связи, при этом сообщение регистрации содержит запрос, передаваемый от объекта пользователя объекту доступа по второй сети связи, и запрос запрашивает по меньшей мере один ключ доступа к первой сети связи; и передачу ответа на переданный запрос от объекта доступа объекту пользователя по второй сети связи, если переданный запрос отвечает конфигурируемому правилу авторизации, при этом указанный ответ включает по меньшей мере один запрашиваемый ключ доступа к первой сети связи. 2 н. и 10 з.п. ф-лы, 4 ил.

Изобретение относится к способам мультимодального телефонного вызова. Технический результат заключается в обеспечении возможности обмениваться как голосовыми сообщениями, так и данными в контексте телефонного вызова. Способ, реализованный на первом вычислительном устройстве для установления мультимодального телефонного вызова, содержит этапы, на которых: принимают телефонный вызов от второго вычислительного устройства; отправляют ответ второму вычислительному устройству о том, что сеанс телефонной связи установлен между первым вычислительным устройством и вторым вычислительным устройством; отправляют сообщение-запрос для регистрации первого вычислительного устройства для сеанса обмена данными в онлайн-службе регистрации, причем сообщение-запрос включает в себя телефонный номер, ассоциированный с первым вычислительным устройством, и телефонный номер, ассоциированный со вторым вычислительным устройством; принимают ответное сообщение, указывающее, что первое вычислительное устройство зарегистрировано в онлайн-службе регистрации, причем ответное сообщение включает в себя ключ, который уникально идентифицирует сеанс обмена данными, и используют ключ, чтобы установить сеанс обмена данными со вторым вычислительным устройством. 3 н. и 7 з.п. ф-лы, 10 ил.

Изобретение относится к средствам для быстрого распределения данных. Технический результат заключается в уменьшении загрузки центрального процессора и запоминающего устройства во время передачи данных между хранилищем и контроллером сетевого интерфейса. Отправляют, посредством центрального процессора, информацию описания данных в модуль быстрого перенаправления, при этом информация описания данных содержит информацию адреса и длины данных, запрошенных пользователем. Считывают, посредством модуля быстрого перенаправления согласно информации описания данных, данные, запрошенные пользователем, из хранилища и перенаправляют данные, запрошенные пользователем, в контроллер сетевого интерфейса. Отправляют, посредством контроллера сетевого интерфейса, данные, запрошенные пользователем, пользователю. При этом центральный процессор, хранилище и контроллер сетевого интерфейса взаимосвязаны с помощью PCI-коммутатора и модуль быстрого перенаправления представляет собой функциональный модуль, который встроен в PCI-коммутатор и обеспечивает функции прямой отправки и приема. 4 н. и 12 з.п. ф-лы, 12 ил.

Изобретение относится к мобильной связи через коммуникационные сети, в частности к серверу приложений для управления связью с группой пользовательских объектов. Техническим результатом изобретения является в обеспечении эффективного управления связью с группой пользовательских объектов. Сервер приложений содержит приемник (201) для приема первого запроса (202) инициации сеанса с общедоступным идентификатором, идентифицирующим группу пользовательских объектов, процессор (203), сконфигурированный для определения текущего состояния связи первого пользовательского объекта при приеме первого запроса инициации сеанса, и передатчик (205, сконфигурированный для передачи второго запроса (204) инициации сеанса с первым идентификатором пользователя для установления канала связи с первым пользовательским объектом в зависимости от его текущего состояния связи. 3 н. и 11 з.п. ф-лы, 7 ил.

Изобретение относится к устройствам обработки и распределения мультимедийных данных, а также определения идентификационной информации мультимедийных данных. Технический результат состоит в увеличении эффективности записи мультимедийных данных и достигается за счет того, что мультимедийные данные, которые должны записываться, снабжают при отправке в устройство записи идентификационной информацией мультимедийных данных. При этом устройство записи идентифицирует мультимедийные данные при помощи соответствующей идентификационной информации мультимедийных данных. Отправляют посредством устройства распределения инструкцию записи в устройство записи без отправки мультимедийных данных, при этом устройство записи идентифицирует мультимедийные данные по соответствующей идентифицирующей информации мультимедийных данных, осуществляет доступ по идентификационной информации к устройству хранения этих данных и записывает мультимедийные данные. 5 н. и 32 з.п. ф-лы, 15 ил.

Изобретение относится к способу и системе отображения почтовых вложений на странице веб-почты. Технический результат заключается в повышении безопасности обработки почтовых сообщений за счет идентификации контента вложений. В способе выполняют получение на почтовый сервер от устройства связи получателя электронной почты запроса на рассмотрение сообщений, предназначенных для получателя электронной почты, получение почтовым сервером от почтовой базы данных электронных сообщений, обладающих конечным адресом, связанным с получателем электронной почты, причем электронные сообщения включают в себя электронное сообщение, обладающее почтовым вложением, передачу устройством связи инициирующего элемента, выполняющего функцию в инициировании отображения устройством связи страницы веб-почты для просмотра получателем электронной почты, которая отображает на каждой строке имя отправителя электронного сообщения, заголовок электронного сообщения, создание пиктограммы, при этом страница веб-почты дополнительно отображает на строке электронного сообщения, обладающего почтовым вложением, пиктограмму, представляющую собой почтовое вложение и иллюстрирующую контент почтового вложения. 2 н. и 38 з.п. ф-лы, 8 ил.

Изобретение относится к области интернет приложений, в частности к получению динамической информации. Технический результат - сокращение количества запросов динамических сообщений. Способ получения динамической информации, включающий получение, клиентом первого пользователя, цепочки взаимосвязей первого пользователя, причем цепочка взаимосвязей первого пользователя включает в себя по меньшей мере одного второго пользователя, определение клиентом степени активности указанного по меньшей мере одного второго пользователя в заданном первом временном периоде, определение опорного значения временного интервала запроса динамической информации согласно степени активности, определение степени обновления информации указанного по меньшей мере одного второго пользователя в заданном втором временном периоде, определение значения корректировки временного интервала запроса динамической информации на основе степени обновления информации, определение клиентом значения временного интервала согласно опорному значению временного интервала и значению корректировки временного интервала запроса динамической информации, а также запрос динамической информации указанного по меньшей мере одного второго пользователя согласно значению временного интервала запроса динамической информации. 3 н. и 17 з.п. ф-лы, 4 ил.

Изобретение относится к области сетевой безопасности. Технический результат - обеспечение эффективной безопасности учетной записи пользоавателя. Способ привязки ключа токена к учетной записи содержит этапы, на которых: отправляют сообщение запроса привязки, переносящее учетную запись, серверу, так что сервер формирует ссылку на сертификат и первый ключ токена, соответствующий учетной записи; получают ссылку на сертификат и первый ключ токена и формируют отображаемую информацию согласно ссылке на сертификат и первому ключу токена, так что мобильный терминал получает зашифрованную информацию согласно первому ключу токена и отправляет сообщение запроса доступа, переносящее ссылку на сертификат и зашифрованную информацию, и дополнительно так, что сервер принимает сообщение запроса доступа и отправляет зашифрованную информацию; получают зашифрованную информацию и получают второй ключ токена согласно зашифрованной информации и отправляют сообщение об успешной привязке серверу после определения того, что второй ключ токена согласуется с первым ключом токена, так что сервер привязывает первый ключ токена к учетной записи. 9 н. и 8 з.п. ф-лы, 10 ил.

Изобретение относится к области беспроводной связи. Технический результат - контроль доступа к сети. Способ замены скомпрометированных цифровых сертификатов, ассоциированных с электронными универсальными картами с интегральной схемой (eUICC), включенными в мобильные устройства, содержащий этапы, на которых на сервере управления eUICC: принимают указание того, что подписывающий центр, ассоциированный с множеством цифровых сертификатов, скомпрометирован; и для каждого цифрового сертификата из данного множества цифровых сертификатов: идентифицируют (i) eUICC, ассоциированную с этим цифровым сертификатом, и (ii) мобильное устройство, в которое данная eUICC включена, идентифицируют открытый ключ (PKeUICC), который (i) соответствует упомянутой eUICC и (ii) ассоциирован с упомянутым цифровым сертификатом, вызывают создание обновленного цифрового сертификата, причем обновленный цифровой сертификат основывается на PKeuicc и обновленном секретном ключе (SKUpdated_SA), который соответствует подписывающему центру, предписывают упомянутой eUICC заменить упомянутый цифровой сертификат обновленным цифровым сертификатом. 3 н. и 17 з.п. ф-лы, 19 ил.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных. Способ содержит этапы, на которых: принимают поток данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени от другого устройства связи, при этом пакеты потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени включают в себя идентификацию потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени; и передают запрос паузы от приемного устройства связи к другому устройству связи, при этом запрос паузы включает в себя идентификацию потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени и порядковый номер запроса паузы. 4 н. и 28 з.п. ф-лы, 11 ил.

Изобретение относится к технике связи и может использоваться в системах технологической связи. Технический результат состоит в повышении надежности связи. Для этого устройство включает интерфейс технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер соединяется с интерфейсом технологической связи. Хранилище правил соединяется с контроллером и имеет по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи по меньшей мере к одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи. 4 н. и 12 з.п. ф-лы, 6 ил.

Проблема безопасности является вопросом первостепенной важности, а также одной из составляющих успеха компании. По этой причине руководители по информационной безопасности должны входить в число первых лиц каждой организаций. Их задача - обеспечивать соответствие стратегий защиты информации деловым интересам компании.

Выход в Интернет - это безграничные возможности, однако, после подключения мы оказываемся в огромной общей экосистеме. Важно понимать, что беда, случившаяся с одной компанией, обязательно отразится на других организациях. Происшествие может сказаться не только на непосредственных деловых партнерах пострадавшей компании, но и на организациях, действующих в совершенно других областях. Например, в случае проникновения в корпоративную сеть часто происходит утечка личных сведений (PII). Эти данные можно не только продать или использовать в мошеннических целях, но и разработать на их основе фишинговые атаки. Чем более подробными сведениями о вас располагает злоумышленник, тем более реалистично будет выглядеть поступившее от него сообщение электронной почты, которое вы наверняка откроете.

Многие из используемых в настоящее время технологий атак схожи с теми, которые применялись несколько лет назад: например, обход недостаточно надежных паролей, фишинговые атаки и загрузка вредоносного программного обеспечения с зараженных или рекламных сайтов. В то же время злоумышленники разработали более эффективные и незаметные техники проникновения в сетевые системы благодаря некоторым широко распространенным уязвимостям.

К их числу относятся социальные сети и информационные службы. Множество людей в той или иной мере пользуется социальными сетями, например Facebook , LinkedIn или сайтами интернет-знакомств. Это позволяет злоумышленникам проникать на пользовательские устройства при помощи социальной инженерии, играя на человеческих эмоциях. Принципы социальной инженерии остались теми же, но изменились направления атак. Также следует учесть тот факт, что злоумышленники используют различные методы уклонения. Они все эффективнее скрывают атаки, поэтому традиционных антивирусных программ часто недостаточно для надежной защиты.

Из числа новых технологий незаконного проникновения в корпоративные сети чаще всего используются фишинговые атаки . К фишинговым сообщениям электронной почты прикрепляются вредоносные коды или ссылки, которые на первый взгляд вызывают доверие и побуждают пользователей перейти по ним.

Еще одна используемая злоумышленниками технология - . Преступники проникают на веб-сайт и устанавливают вредоносный Java -скрипт, который перенаправляет ничего не подозревающего пользователя на другой веб-сайт, содержащий вредоносные данные (программу). Эти данные в фоновом режиме загружаются на устройство пользователя. Перед проведением целевой атаки злоумышленники тратят много месяцев на исследование веб-сайтов, часто посещаемых сотрудниками компаний, и заражение этих сайтов.

Следующая технология - вредоносная реклама . Принцип этой атаки схож со скрытой загрузкой, однако в этом случае злоумышленник заражает рекламные сайты. Один зараженный рекламный сайт в свою очередь может заразить тысячи других. Впечатляющий результат без особых усилий!

Последними по распространенности, но от этого не менее опасными являются атаки мобильных устройств . Во многом они похожи на описанные выше атаки. Отличие заключается в том, что целью этого вида атак являются мобильные устройства. Кроме того, вредоносные программы могут попадать на устройства в SMS -сообщениях или под видом других приложений, таких как игры или порнография.

После успешного проникновения в сеть пользовательского устройства, например ноутбука, настольного компьютера или мобильного устройства, злоумышленник начинает загружать вредоносное программное обеспечение и инструменты для достижения своей противоправной цели. Как правило, необходимые злоумышленникам данные находятся не на рабочих станциях, а на серверах, базах данных и в других расположениях. Ниже описаны этапы деятельности преступников после проникновения в сеть:

Загрузка других инструментов и вредоносных программ в целях дальнейшего заражения сети.
Исследование сети и поиск других серверов, содержащих данные, необходимые злоумышленникам. Поиск сервера Active Directory , содержащего все имена пользователей и пароли. В случае удачного взлома этого сервера преступники получат свободный доступ ко всем ресурсам.
Обнаружив данные, злоумышленники найдут и сервер дополнительного распределения информации для копирования этих данных. В идеале это сервер со стабильной работоспособностью (не подверженный сбоям) с доступом к Интернету.
Данные будут медленно передаваться на серверы злоумышленников, которые располагаются в облаках, что делает затруднительным блокировать передачу данных.

Находясь в сети в течение длительного времени, злоумышленники способны собрать доступные данные любых типов. Большинство корпоративных данных хранятся в электронном виде. Чем дольше злоумышленники остаются необнаруженными, тем больше они узнают о деловой активности компании и потоках данных. В качестве примера можно привести атаку Carbanak. В ходе этой атаки преступникам удалось обнаружить компьютеры администраторов, получить доступ к камерам видеонаблюдения , проследить за работой банковских служащих и зафиксировать все их действия в мельчайших подробностях. Имитируя эти действия, злоумышленники вывели деньги при помощи собственных систем.

Как я сказал ранее, проникновение в сеть часто происходит при переходе пользователя по вредоносной ссылке. Попав в сеть устройства, злоумышленники ищут необходимые им данные, перемещаясь по сети. Вот почему так важна сегментация сети . Во-первых, она снижает отрицательные последствия нарушения безопасности за счет изоляции проникших в сеть вредоносных элементов на каком-либо участке и предотвращения их распространения по сети. Также благодаря сегментации конфиденциальные данные можно переместить в область с более высоким уровнем защиты, откуда злоумышленникам будет сложнее извлечь их. И, наконец, отследить все происходящее в сети и сделать защитный периметр непроницаемым физически невозможно, так как сеть - слишком большая и сложная структура. Поэтому целесообразнее изолировать важные данные и сосредоточиться на слежении за путями подхода к этим данным.

В этой части описана техника взлома компьютеров Windows 2000/XP в сетях TCP/IP. В уроке 1 мы обсуждали методы и средства, применяемые хакерами для проникновения в компьютерную систему организации. Там мы указали, что для реализации такой задачи хакер может воспользоваться локальным доступом, скажем, для элементарной кражи оборудования, например, жесткого диска, или взломать систему удаленно. Удаленное проникновение можно выполнить либо изнутри локальной сети, подсоединив к сетевому кабелю компьютер с хакерским программным обеспечением, либо извне - воспользовавшись Интернетом или телефонной линией с модемом. Угрозы локального проникновения и атаки из Интернета мы обсудили в предыдущих главах, а в этой части книги мы сконцентрируем внимание на атаках компьютеров Windows 200/XP изнутри локальной сети. Мы рассмотрим уязвимости протоколов TCP/IP, средств удаленного администрирования, брандмауэров, сетевых соединений.

Хакинг компьютеров Windows 2000/XP

Итак, хакеру удалось подсоединиться к локальной сети, воспользовавшись каким-то заброшенным (чужим) компьютером, или нелегально подсоединиться к сетевому кабелю, проходящему где-то в подвале, применив специальное устройство. Впрочем, все это, как правило, излишне - при царящем в нынешних локальных сетях хаосе достаточно получить доступ к обычному сетевому компьютеру - и далее все зависит от вас. Итак, хакер получил доступ к локальной сети и теперь хочет получить доступ к информационным ресурсам сетевых хостов. Как же он может это сделать?

Далее работа утилит хакинга иллюстрируется на примере нашей экспериментальной сети TCP/IP, которую мы использовали на протяжении всей книги. Эта сеть позволит продемонстрировать набор технических приемов хакинга сетей TCP/IP без нарушения чьих-либо прав на конфиденциальность информации. Автор категорически настаивает на неприменении описанных далее средств к реальным сетям и предупреждает о возможной ответственности.

В Главе 1 мы описали все этапы хакерского нападения и указывали, что хакер вначале попытается узнать все что только можно об организации атакуемой сети и применяемых в ней сетевых технологиях. В этой главе мы опустим этап предварительного сбора данных - он достаточно подробно описан в Главе 12 применительно к задачам хакинга Web-сайтов. Вместо этого мы поподробнее рассмотрим все последующие этапы сетевой атаки, которые, собственно, и делают хакинг таким «интересным» занятием. Как указывалось в Главе 1, первое, что должен сделать хакер для проникновения в сеть - это выполнить ее сканирование и инвентаризацию.

Сканирование сети TCP/IP

Сканирование преследует цель определение IP-адресов хостов атакуемой сети, и для выполнения сканирования можно воспользоваться утилитой ping из набора средств, представленных в пакете W2RK (Windows 2000 Resource Pack). Эта утилита посылает сетевым хостам с IP-адресами в заданном диапазоне пакеты протокола ICMP (Internet Control Message Protocol - Протокол управляющих сообщений в сети Интернет). Если в ответ на посланный пакет приходит ответ - значит по соответствующему адресу находится сетевой хост. На Рис. 1 представлен результат сканирования утилитой ping хоста Sword-2000 .

Рис. 1. Результат сканирования хоста Sword-2000 утилитой ping

Из результата видно, что компьютер по указанному адресу подключен к сети и соединение работает нормально. Это самый простой способ сканирования сети, однако, он не всегда приводит к нужным результатам, поскольку многие узлы блокируют ответную отправку пакетов ICMP с помощью специальных средств защиты. Если обмен данными по протоколу ICMP заблокирован, хакерами могут быть использованы другие утилиты, например, hping (http://www.hping.org/ ). Эта утилита способна фрагментировать (т.е. делить на фрагменты) пакеты ICMP, что позволяет обходить простые устройства блокирования доступа, которые не умеют делать обратную сборку фрагментированных пакетов.

Другой способ обхода блокирования доступа - сканирование с помощью утилит, позволяющих определить открытые порты компьютера, что в ряде случаев способно обмануть простые системы защиты. Примером такой утилиты является SuperScan (http://www.foundstone.com ), которая предоставляет пользователям удобный графический интерфейс (см. Рис. 2).

Рис. 2. Результаты сканирования сети утилитой SuperScan 3.0

На Рис. 2 приведен результат сканирования сети в диапазоне IP-адресов 192.168.0.1-192.168.0.100 . Обратите внимание на древовидный список в нижней части окна, отображающий список всех открытых портов компьютера Ws7scit1xp , среди которых - любимый хакерами TCP-порт 139 сеансов NetBIOS. Запомнив это, перейдем к более детальному исследованию сети - к ее инвентаризации.

Инвентаризация сети

Инвентаризация сети заключается в определении общих сетевых ресурсов, учетных записей пользователей и групп, а также в выявлении приложений, исполняемых на сетевых хостах. При этом хакеры очень часто используют следующий недостаток компьютеров Windows NT/2000/XP - возможность создания нулевого сеанса NetBIOS с портом 139.

Нулевой сеанс

Нулевой сеанс используется для передачи некоторых сведений о компьютерах Windows NT/2000, необходимых для функционирования сети. Создание нулевого сеанса не требует выполнения процедуры аутентификации соединения. Для создания нулевого сеанса связи выполните из командной строки Windows NT/2000/XP следующую команду.

net use \\1.0.0.1\IPC$ "" /user: ""

Здесь 1.0.0.1 - это IP-адрес атакуемого компьютера Sword-2000 , IPC$ - это аббревиатура Inter-Process Communication - Межпроцессное взаимодействие (название общего ресурса сети), первая пара кавычек "" означает использование пустого пароля, а вторая пара в записи /user:"" указывает на пустое имя удаленного клиента. Подключившийся по нулевому сеансу анонимный пользователь по умолчанию получает возможность запускать диспетчер пользователей, применяемый для просмотра пользователей и групп, исполнять программу просмотра журнала событий. Ему также доступны и другие программы удаленного администрирования системой, опирающиеся на протокол SMB (Server Message Block - Блок сообщений сервера). Более того, подсоединившийся по нулевому сеансу пользователь имеет права на просмотр и модификацию отдельных разделов системного реестра.

В ответ на ввод вышеприведенной команды, не защищенный должным образом компьютер отобразит сообщение об успешном подключении; в противном случае отобразится сообщение об отказе в доступе. В нашем случае появится сообщение об успешном выполнении соединения компьютера Alex-З (система Windows XP) с компьютером Sword-2000 (система Windows 2000). Однако нулевой сеанс Sword-2000 с Alex-З уже не получается - очевидно, разработчики Windows XP учли печальный опыт «использования» нулевого сеанса в системах Windows 2000, которые, по умолчанию, позволяли нулевые сеансы.

Нулевые сеансы связи используются всеми утилитами инвентаризации сетевых ресурсов компьютеров Windows NT/2000/XP. Самый простой метод инвентаризации состоит в использовании утилит net view и nbtstat из пакета W2RK. Утилита net view позволяет отобразить список доменов сети.

В результате отобразилось название рабочей группы SWORD. Если указать найденное имя домена, утилита отобразит подсоединенные к нему компьютеры.

А теперь определим зарегистрировавшегося на данный момент пользователя серверного компьютера Sword-2000 и запущенные на компьютере службы. С этой целью применим утилиту nbtstat; результат ее применения представлен на Рис. 3.

Рис. 3. Утилита nbtstat определила пользователей и службы компьютера А1ех-3

На Рис. 3 отображена таблица, в которой первый столбец указывает имя NetBIOS, вслед за именем отображен код службы NetBIOS. В частности, код <00> после имени компьютера означает службу рабочей станции, а код <00> после имени домена - имя домена. Код <03> означает службу рассылки сообщений, передаваемых вошедшему в систему пользователю, имя которого стоит перед кодом <03> - в данном случае, Administrator. На компьютере также запущена служба браузера MSBROWSE, на что указывает код <1 Е> после имени рабочей группы SWORD.

Итак, у нас уже имеется имя пользователя, зарегистрированного в данный момент на компьютере - Administrator. Какие же общие сетевые ресурсы компьютера Sword-2000 он использует? Снова обратимся к процедуре net view, указав ей имя удаленного компьютера. Результаты представлены на Рис. 4.

Рис. 4. Общие ресурсы компьютера Sword-2000

Как видим, учетная запись пользователя Administrator открывает общий сетевой доступ к некоторым папкам файловой системе компьютера Sword-2000 и дисководу CD-ROM. Таким образом, мы уже знаем о компьютере достаточно много - он разрешает нулевые сеансы NetBIOS, на нем работает пользователь Administrator, открыты порты 7, 9, 13, 17, 139, 443, 1025, 1027 компьютера, и в число общесетевых ресурсов входят отдельные папки локального диска С:. Теперь осталось только узнать пароль доступа пользователя Administrator - и в нашем распоряжении будет вся информация на жестком диске С: компьютера. Чуть ниже мы покажем, как для этого используется утилита pwdump3.exe удаленного извлечения паролей из системного реестра Windows NT/2000/XP и программа LC4 их дешифрования.

А что можно сделать, если протокол NetBIOS через TCP/IP будет отключен (компьютеры Windows 2000/XP предоставляют такую возможность)? Существуют и другие средства инвентаризации, например, протокол SNMP (Simple Network Management Protocol - Простой протокол сетевого управления), обеспечивающий мониторинг сетей Windows NT/2000/XP.

А сейчас, после того, как мы собрали сведения об атакуемой системе, перейдем к ее взлому.

Реализация цели

Исполнение атаки на системы Windows NT/2000/XP состоит из следующих этапов.

Проникновение в систему, заключающееся в получении доступа.

Расширение прав доступа, состоящее во взломе паролей учетных записей с большими правами, например, администратора системы.

Выполнение цели атаки - извлечение данных, разрушение информации и т.д.

Проникновение в систему

Проникновение в систему начинается с использования учетной записи, выявленной на предыдущем этапе инвентаризации. Для определения нужной учетной записи хакер мог воспользоваться командой nbtstat или браузером MIB, или какими-либо хакерскими утилитами, в изобилии представленными в Интернете. Выявив учетную запись, хакер может попробовать подсоединится к атакуемому компьютеру, используя ее для входной аутентификации. Он может сделать это из командной строки, введя такую команду.

D:\>net use \\1.0.0.1\IPCS * /urAdministrator

Символ «*» в строке команды указывает, что для подключения к удаленному ресурсу IPC$ нужно ввести пароль для учетной записи Administrator. В ответ на ввод команды отобразится сообщение:

Type password for\\1.0.0.1\IPC$:

Ввод корректного пароля приводит к установлению авторизованного подключения. Таким образом, мы получаем инструмент для подбора паролей входа в компьютер - генерируя случайные комбинации символов или перебирая содержимое словарей, можно, в конце концов, натолкнуться на нужное сочетание символов пароля. Для упрощения подбора существуют утилиты, которые автоматически делают все эти операции, например, SMBGrind, входящая в коммерческий пакет CyberCop Scanner компании Network Associates. Еще один метод - создание пакетного файла с циклическим перебором паролей.

Однако удаленный подбор паролей - далеко не самое мощное орудие взлома. Все современные серверы, как правило, снабжены защитой от многократных попыток входа со сменой пароля, интерпретируя их как атаку на сервер. Для взлома системы защиты Windows NT/2000/XP чаще используется более мощное средство, состоящее в извлечении паролей базы данных SAM (Security Account Manager -Диспетчер учетных данных системы защиты). База данных SAM содержит шифрованные (или, как говорят, хешированные) коды паролей учетных записей, и они могут быть извлечены, в том числе удаленно, с помощью специальных утилит. Далее эти пароли дешифруются с помощью утилиты дешифрования, использующей какой-либо метод взлома, например, «грубой силой», либо словарной атакой, путем перебора слов из словаря.

Наиболее известной утилитой дешифрования, применяемой для взлома паролей SAM, является программа LC4 (сокращение от названия LOphtcrack, новейшая версия - LC4) (http://www.atstake.com/research/redirect.html ), которая действует в паре с такими утилитами.

Samdump - извлечение хешированных паролей из базы данных SAM.

Pwdump - извлечение хешированных паролей из системного реестра компьютера, включая удаленные системы. Эта утилита не поддерживает усиленное шифрование Syskey базы SAM (подробнее о Syskey см. Главу 4).

Pwdump2 - извлечение хешированных паролей из системного реестра, в котором применено шифрование Syskey. Эта утилита поддерживает работу только с локальными системами.

Pwdump3 - то же, что и Pwdump2, но с поддержкой удаленных систем.

Что такое шифрование Syskey, мы подробно обсудили в Главе 4; здесь укажем, что это средство усиленного шифрования базы SAM, которое устанавливается в системах Windows 2000/XP по умолчанию, а для систем Windows NT должно быть установлено как дополнительная возможность.

В Главе 4 было описано, как следует извлекать пароли из локального системного реестра, сейчас же рассмотрим, как эта операция выполняется удаленно. Для извлечения хешированных паролей из компьютера Sword-2000 применим утилиту Pwdimp3, запустив ее из командной строки:

C:\>pwdump3 sword-2000 > password.psw

Здесь в командной строке указан целевой компьютер Sword-2000 , а далее задано перенаправление вывода извлеченных данных в файл с именем password.psw. Содержимое полученного в результате файла представлено в окне приложения Блокнот (Notepad) (Рис. 5).

Рис. 5. Результат извлечения хешированных паролей из компьютера Sword-2000

Как видим, в файле password.psw содержится учетная запись Administrator, которую мы нашли на этапе инвентаризации. Чтобы расшифровать пароли, следует применить программу LC4, и, хотя пробная версия этой программы поддерживает только дешифрование паролей методом словарной атаки, мы все же сможем взломать пароли компьютера Sword-2000 (Рис. 6).

Рис. 6. Дешифрование паролей, удаленно извлеченных из реестра компьютера Sword-2000

Для этого потребовалось всего несколько секунд работы компьютера с процессором Celeron 1000 МГц, поскольку пароль 007 состоит всего из трех цифр и очень слаб. Применение более сложных паролей значительно повышает крипто-стойкость системы, и их взлом может потребовать неприемлемого увеличения времени работы приложения LC4.

Таким образом, хакер, имея одну небольшую зацепку - возможность создания нулевых сеансов подключения NetBIOS к компьютеру - в принципе, сможет получить пароли учетных записей компьютера, включая администратора системы. Если же ему не удастся сразу получить пароль учетной записи с большими правами, хакер постарается расширить свои права доступа.

Расширение прав доступа и реализация aтaku

Для расширения прав доступа к системе взломщики используют самые разнообразные методы, но основное их отличие - необходимость внедрения в компьютер специальной программы, позволяющей выполнять удаленное управление системой, в том числе регистрацию действий пользователя. Цель - овладение учетной записью, позволяющей получить максимально широкий доступ к ресурсам компьютера. Для этого на атакуемый компьютер могут быть внедрены так называемые клавиатурные шпионы - программы, регистрирующие нажатия клавиш. Все полученные данные записываются в отдельный файл, который далее может быть отослан на компьютер взломщика по сети.

В качестве примера клавиатурного шпиона можно назвать популярный регистратор Invisible Key Logger Stealth (IKS) (http://www.amecisco.com/iksnt.htm ). Кейлоггер IKS - пример пассивного трояна, который работает сам по себе и не обеспечивает своему хозяину средств удаленного управления.

Другой вариант действий хакера - помещение в систему активного трояна, т.е., например, популярного троянского коня NetBus (http://www.netbus.org ) или В02К (Back Orifice 2000) (http://www.bo2k.com ), которые обеспечивают средства скрытого удаленного управления и мониторинга за атакованным компьютером.

Утилиты NetBus и ВО2К позволяют реализовать одну из важнейших целей хакерской атаки - создание в удаленной системе потайных ходов. Прорвавшись один раз в компьютер жертвы, хакер создает в нем множество дополнительных «потайных» ходов. Расчет строится на том, что пока хозяин компьютера ищет и находит один ход, хакер с помощью пока еще открытых ходов создает новые потайные ходы, и так далее. Потайные ходы - крайне неприятная вещь, избавиться от них практически невозможно, и с их помощью взломщик получает возможность делать на атакованном компьютере что угодно - следить за деятельностью пользователя, изменять настройки системы, а также делать ему всякие гадости типа насильственной перезагрузки системы или форматирования жестких дисков.

В качестве примера троянского коня рассмотрим работу старого, заслуженного троянского коня NetBus, разработанного группой хакеров cDc (Cult of the Dead Cow - Культ мертвой коровы).

Приложение NetBus

Приложение NetBus относится к числу клиент-серверных программ, т.е. одна его часть, серверная, устанавливается на атакуемом компьютере, а другая часть, клиентская, на компьютере хакера. Инсталляция приложения, выполняемая на локальном компьютере, не вызывает проблем. В диалоге мастера установки следует указать требуемый компонент - серверный или клиентский, после чего происходит его загрузка на компьютер. Скрытая, удаленная, установка сервера на атакованном компьютере и запуск серверной программы - это задача посложнее, и мы ее отложим. Вначале рассмотрим работу приложения NetBus на примере двух наших сетевых компьютеров: клиента - компьютер Ws7scit1xp (IP-адрес 192.168.0.47), и сервера - компьютер Ws6scit1xp (IP-адрес 192.168.0.46).

Для успешной работы троянского коня NetBus на атакуемом компьютере вначале требуется запустить серверный компонент приложения, называемый NBSvr (настоящие хакеры должны ухитриться сделать это удаленно). При запуске программы NBSvr отображается диалог, представленный на Рис. 7.

Рис. 7. Диалог сервера NetBus

Перед использованием сервера NetBus утилиту NBSvr необходимо настроить. Для этого выполните такую процедуру.

В диалоге NB Server (Сервер NB) щелкните на кнопке Settings (Параметры). На экране появится диалог Server Setup (Параметры сервера), представленный на Рис. 8.

Рис. 8. Диалог настройки сервера NetBus

Установите флажок Accept connections (Принимать соединения).

В поле Password (Пароль) введите пароль доступа к серверу NetBus .

Из открывающегося списка Visibility of server (Видимость сервера) выберите пункт Full visible (Полная видимость), что позволит наблюдать за работой сервера NetBus (но для работы лучше выбрать полную невидимость).

В поле Access mode (Режим доступа) выберите Full access (Полный доступ), что позволит делать на компьютере Ws7scit1xp все возможные операции удаленного управления.

Установите флажок Autostart every Windows session (Автозагрузка при каждом сеансе работы с Windows), чтобы сервер автоматически загружался при входе в систему.

Щелкните мышью на кнопке ОК . Сервер готов к работе. Теперь настроим работу клиента - утилиту NetBus.exe .

Запустите утилиту NetBus.exe , после чего отобразится окно NetBus 2.0 Pro , представленное на Рис. 9.

Рис. 9. Рабочее окно клиента NetBus

Выберите команду меню Host * Neighborhood * Local (Хост * Соседний хост * Локальный). Отобразится диалог Network (Сеть), представленный на Рис. 10.

Рис. 10. Диалог выбора хоста для подключения клиента NetBus

Щелкните на пункте Microsoft Windows Network (сеть Microsoft Windows) и откройте список сетевых хостов (Рис. 11).

Рис. 11. Диалог выбора серверного хоста для подключения

Выберите компьютер с установленным сервером NetBus, в нашем случае Ws7scit1xp , и щелкните на кнопке Add (Добавить). На экране появится диалог Add Host (Добавить хост), представленный на Рис. 12.

Рис. 12. Диалог добавления нового хоста - сервера NetBus

В поле Host name/IP (Имя хоста/IP) введите IP-адрес серверного хоста 192.168.0.46.

В поле User name (Имя пользователя) введите имя взломанной учетной записи Administrator , а в поле Password (Пароль) - дешифрованный утилитой LC4 пароль 007 .

Щелкните на кнопке ОК . На экране отобразится диалог Network (Сеть).

Закройте диалог Network (Сеть), щелкнув на кнопке Close (Закрыть). На экране отобразится окно NetBus 2.0 Pro с записью добавленного хоста (Рис. 13).

Рис. 13. Окно NetBus 2.0 Pro с записью добавленного хоста - сервера NetBus

Чтобы подсоединиться к хосту Ws7scit1xp , щелкните правой кнопкой мыши на пункте списка Ws7scit1xp и из отобразившегося контекстного меню выберите команду Connect (Подсоединить). В случае успеха в строке состояния окна NetBus 2.0 Pro отобразится сообщение Connected to 192.168.0.46 (v.2.0) (Подключен к 192.168.0.46 (v.2.0)).

После успешного соединения с серверным компонентом NetBus хакер, используя инструменты клиента NetBus, может сделать с атакованным компьютером все что угодно. Практически ему будут доступны те же возможности, что и у локального пользователя Administrator. На Рис. 14 представлен список инструментов клиента NetBus, отображенный в меню Control (Управление).

Рис. 14. Меню Control содержит обширный список инструментов управления удаленным хостом

Среди этих инструментов отметим средства, собранные в подменю Spy functions (Средства шпионажа) и содержащие такие полезные инструменты, как клавиатурный шпион, перехватчики экранных изображений и информации, получаемой с видеокамеры, а также средства записи звуков. Таким образом, проникший в ваш компьютер хакер может подглядывать, подслушивать и прочитывать все, что вы видите, говорите или вводите с клавиатуры компьютера. И это еще не все! Хакер может модифицировать системный реестр компьютера Sword-2000 , запускать любые приложения и перезагружать удаленную систему Windows, не говоря уж о возможностях просмотра и копирования любых документов и файлов.

Как уже упоминалось, описанная в этом разделе утилита сервера NetBus, так же как и описанный в предыдущем разделе клавиатурный шпион IKS, требуют предварительного запуска на атакуемом компьютере. Последняя задача составляет целую отдельную область хакинга и заключается в поиске открытых по недосмотру каталогов информационного сервера IIS, а также в использовании методов «социальной инженерии», применяемых для внедрения в компьютер троянских коней или вирусов. (Подробнее методы «социальной инженерии» рассматриваются на протяжении всей книги).

Coкpытие следов

Аудит, несомненно, является одним из наиболее серьезных средств защиты от хакинга компьютерной системы, и отключение средств аудита - одна из первых операций, которую выполняют хакеры при взломе компьютерной системы. Для этого применяются различные утилиты, позволяющие очистить журнал регистрации и/или отключить аудит системы перед началом «работы».

Для отключения аудита хакеры могут открыть консоль ММС и отключить политику аудита, воспользовавшись средствами операционной системы. Другим, более мощным средством, является утилита auditpol.exe комплекта инструментов W2RK. С ее помощью можно отключать (и включать) аудит как локального, так и удаленного компьютера. Для этого следует из командной строки ввести такую команду.

C:\Auditpol>auditpol \\sword-2000 /disable

На экране появятся результаты работы:

Параметр команды \\sword-2000 - это имя удаленного компьютера, а ключ /disable задает отключение аудита на этом компьютере. Утилита auditpol.exe - весьма эффективное средство, созданное для управления сетевыми ресурсами, но также, как видим, весьма удобный инструмент хакинга. Чтобы познакомиться с ее возможностями, достаточно ввести команду auditpol /? , после чего на экране отобразится справочная информация по применению утилиты. В частности, эта утилита позволяет включать/отключать аудит базы данных SAM, что является предпосылкой использования утилиты pwdump3.exe для извлечения паролей из базы SAM.

Очистку журналов безопасности можно выполнить либо с помощью утилиты просмотра журналов Windows 2000/XP, либо с помощью специальных утилит (как правило, используемых хакерами). В первом случае следует выполнить следующие действия.

Щелкните на кнопке Пуск (Start) и в появившемся главном меню выберите команду Настройка * Панель управления (Settings * Control Panel).

В отобразившейся панели управления откройте папку Администрирование (Administrative Tools).

Дважды щелкните на аплете Управление компьютером (Computer Management). На экране появится диалог консоли ММС.

Последовательно откройте папки Служебные программы * Просмотр событий (System Tools * Event Viewer).

Щелкните правой кнопкой мыши на пункте Безопасность (Security Log); появится контекстное меню.

Выберите команду контекстного меню Стереть все события (Clear all Events). На экране появится диалог Просмотр событий (Event Viewer) с предложением сохранить журнальные события в файле.

Щелкните на кнопке Нет (No), если вам больше не требуются зафиксированные в журнале события. Журнал будет очищен.

При выполнении операции очистки журнала безопасности обратите на характерную особенность. При очистке журнала безопасности из него удаляются все события, но сразу устанавливается новое событие - только что выполненная очистка журнала аудита! Таким образом, хакер все же оставит свой след - пустой журнал с зафиксированным событием очистки журнала. Посмотрим, не помогут ли нам в таком случае хакерские утилиты.

Попробуем применить утилиту очистки журнала событий elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm ). Эта утилита предназначена в первую очередь для очистки журналов Windows NT 4, но ее последняя версия работает и с системой Windows 2000. Вот как она запускается из командной строки.

C:\els004>elsave -s \\sword-2000 -С

Здесь ключ -s задает режим удаленной очистки, а ключ -С задает операцию очистки журнала. Кроме очистки, утилита позволяет копировать события журнала в файл. (Ввод команды elsave /? приводит к отображению справки, и вы можете сами испытать эффективность всех предлагаемых возможностей). Проверка показывает, что отмеченный выше недостаток остался - применение утилиты elsave.exe регистрируется в журнале безопасности как событие очистки журнала, подобно применению команды очистки журнала средствами аплета Управление компьютером (Computer Management).

Как защититься от всех этих утилит? Следует убрать из компьютера (или замаскировать) все утилиты комплекта W2RK, установить аудит базы данных SAM, системного реестра и всех важных ресурсов системы. После этого следует регулярно просматривать журнал безопасности. Выявление непонятных событий очистки журнала безопасности или доступа к защищенным ресурсам поможет навести на след хакера.

Заключение

Сетевой хакинг компьютеров - это очень распространенное занятие хакеров. Однако, как мы видим, занятие это весьма трудоемкое, и при желании выявить такого рода манипуляции достаточно просто. Для этого достаточно воспользоваться шаблонами безопасности Windows и загрузить шаблон защиты сервера. Другие меры пассивной обороны состоят в настройке системы защиты Windows, брандмауэров и систем IDS. В особых случаях антихакер может также прибегнуть к выявлению хакера его же методами, поскольку системы IDS, как правило, способны выявлять IP-адрес нарушителя (например, это делает программа BlacklCE Defender). Однако антихакеру следует учесть, что проникая в компьютер хакера, он сам уподобляется противнику, так что нелишней мерой будет использование прокси-серверов и других средств маскировки.

Еще один способ получения пароля - это внедрение в чужой компьютер «троян-ского коня». Так называют резидентную программу, работающую без ведома хозяи-на данного компьютера и выполняющую действия, заданные злоумышленником. В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.

Программа-«троянский конь» всегда маскируется под какую-нибудь полезную ути-литу или игру, а производит действия, разрушающие систему. По такому прин-ципу действуют и программы-вирусы, отличительной особенностью которых яв-ляется способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой испол-няемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

Нелегальные действия легального пользователя - этот тип угроз исходит от ле-гальных пользователей сети, которые, используя свои полномочия, пытаются вы-полнять действия, выходящие за рамки их должностных обязанностей. Напри-мер, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, до-ступ к которой администратору сети запрещен. Для реализации этих ограниче-ний могут быть предприняты специальные меры, такие, например, как шифрова-ние данных, но и в этом случае администратор может попытаться получить дос-туп к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не по-ловина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.

«Подслушиванием внутрисетевого трафика - это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно три-виальной. Еще более усложняется защита от этого типа угроз в сетях с глобаль-ными связями. Глобальные связи, простирающиеся на десятки и тысячи кило-метров, по своей природе являются менее защищенными, чем локальные связи (больше возможностей для прослушивания трафика, более удобная для злоумыш-ленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зави-сит от того, используются собственные, арендуемые каналы или услуги общедос-тупных территориальных сетей, подобных Интернету.

Однако использование общественных сетей (речь в основном идет об Интерне-те) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опас-ность несанкционированного входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного про-никновения в компьютер. Это представляет постоянную угрозу для сетей, под-соединенных к Интернету.

Интернет сам является целью для разного рода злоумышленников. Поскольку Интернет создавался как открытая система, предназначенная для свободного об-мена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недос-| татки, злоумышленники все чаще предпринимают попытки несанкционирован-ного доступа к информации, хранящейся на узлах Интернета.

Системный подход к обеспечению безопасности

Построение и поддержка безопасной системы требует системного подхода. В со-ответствии с этим подходом прежде всего необходимо осознать весь спектр воз-можных угроз для конкретной сети и для каждой из этих угроз продумать тактику. ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы - морально-этические и законодательные, административ-ные и психологические, защитные возможности программных и аппаратных средств сети.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране. Например, подобно тому как в борьбе против пиратского копирова-ния программ в настоящее время в основном используются меры воспитатель-ного плана, необходимо внедрять в сознание людей аморальность всяческих по-кушений на нарушение конфиденциальности, целостности и доступности чужих информационных ресурсов.

Законодательные средства защиты - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируют-ся правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Правовая регламентация деятельности в области защиты информации имеет целью защи-ту информации, составляющей государственную тайну, обеспечение прав потре-бителей на получение качественных продуктов, защиту конституционных прав граждан на сохранение личной тайны, борьбу с организованной преступностью.

Административные меры - это действия, предпринимаемые руководством пред-приятия или организации для обеспечения информационной безопасности. К та-ким мерам относятся конкретные правила работы сотрудников предприятия, например режим работы сотрудников, их должностные инструкции, строго опре-деляющие порядок работы с конфиденциальной информацией на компьютере. К административным мерам также относятся правила приобретения предпри-ятием средств безопасности. Представители администрации, которые несут от-ветственность за защиту информации, должны выяснить, насколько безопасным является использование продуктов, приобретенных у зарубежных поставщиков. Особенно это касается продуктов, связанных с шифрованием. В таких случаях желательно проверить наличие у продукта сертификата, выданного российски-ми тестирующими организациями.

Психологические меры безопасности могут играть значительную роль в укрепле-нии безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к на-рушениям защиты. Рассмотрим, например, сеть предприятия, в которой работает много удаленных пользователей. Время от времени пользователи должны ме-нять пароли (обычная практика для предотвращения их подбора). В данной системе выбор паролей осуществляет администратор. В таких условиях злоумыш-ленник может позвонить администратору по телефону и от имени легального пользователя попробовать получить пароль. При большом количестве удален-ных пользователей не исключено, что такой простой психологический прием мо-жет сработать.

К физическим средствам защиты относятся экранирование помещений для защи-ты от излучения, проверка поставляемой аппаратуры на соответствие ее специ-фикациям и отсутствие аппаратных «жучков», средства наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находят-ся носители информации, от незаконного проникновения и т. д. и т. п.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства, называемые также службами сетевой безопасности, решают самые разнообразные задачи по защите системы, например контроль доступа, включающий процедуры аутен-тификации и авторизации, аудит, шифрование информации, антивирусную за-щиту, контроль сетевого графика и много других задач. Технические средства безопасности могут быть либо встроены в программное (операционные системы и приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Политика безопасности

Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на сле-дующие вопросы:

Какую информацию защищать?
Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?
Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?
Какие средства использовать для защиты каждого вида информации?

Специалисты, ответственные за безопасность системы, формируя политику без-опасности, должны учитывать несколько базовых принципов. Одним из таких принципов является предоставление каждому сотруднику предприятия того ми-нимально уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нару-шений в области безопасности предприятий исходит именно от собственных со-трудников, важно ввести четкие ограничения для всех пользователей сети, не на-деляя их излишними возможностями.

Следующий принцип - использование комплексного подхода к обеспечению без-опасности. Чтобы затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппара-туры. Административный запрет на работу в воскресные дни ставит потенциаль-ного нарушителя под визуальный контроль администратора и других пользовате-лей, физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером, встроенные средства сетевой ОС (система аутентификации и авторизации) предотвращают вход в сеть нелегальных пользователей, а для легального пользователя ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия). Такая система защиты с многократным резервированием средств безопасности увеличивает ве-роятность сохранности данных.

Используя многоуровневую систему защиты, важно обеспечивать баланс надеж-ности защиты всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Или если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уров-не отдельных файлов, но имеется возможность получить жесткий диск и устано-вить его на другой машине, то все достоинства средств защиты файловой систе-мы сводятся на нет. Если внешний трафик сети, подключенной к Интернету, проходит через мощный брандмауэр, но пользователи имеют возможность свя-зываться с узлами Интернета по коммутируемым линиям, используя локально установленные модемы, то деньги (как правило, немалые), потраченные на бранд-мауэр, можно считать выброшенными на ветер.

Следующим универсальным принципом является использование средств, кото-рые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если, например, автоматический пропускной пункт в какое-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию. А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым следова-ло бы признать устройство, которое бы при отказе пропускало в сеть весь внеш-ний трафик.

Принцип единого контрольно-пропускного пункта - весь входящий во внутрен-нюю сеть и выходящий во внешнюю сеть трафик должен проходить через един-ственный узел сети, например через межсетевой экран (firewall ). Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независи-мый выход во внешнюю сеть, очень трудно скоординировать правила, ограничи-вающие права пользователей внутренней сети по доступу к серверам внешней сети и обратно - права внешних клиентов по доступу к ресурсам внутренней сети.

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее пре-дотвращение. Ни одна система безопасности не гарантирует защиту данных нг уровне 100 %, поскольку является результатом компромисса между возможны-ми рисками и возможными затратами. Определяя политику безопасности, администратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной за-трат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стан-дартных средств фильтрации обычного маршрутизатора, в других же можно пой-ти на беспрецедентные затраты. Главное, чтобы принятое решение было обосно-вано экономически.

При определении политики безопасности для сети, имеющей выход в Интернет, специалисты рекомендуют разделить задачу на две части: выработать политику доступа к сетевым службам Интернета и выработать политику доступа к ресур-сам внутренней сети компании.

Политика доступа к сетевым службам Интернета включает следующие пункты:

Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
Определение ограничений на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol ) и РРР (Point -to -Point Proto -col ). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями. Например, если для ограничения доступа к Интернету в сети устанавлива-ется специальный шлюз, который не дает возможности пользователям рабо-тать в системе WWW , они могут устанавливать с Web-серверами РРР-соеди-нения по коммутируемой линии. Во избежание этого надо просто запретить использование протокола РРР.
Принятие решения о том, разрешен ли доступ внешних пользователей из Ин-тернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают толь-ко для некоторых, абсолютно необходимых для работы предприятия служб, например электронной почты.

Политика доступа к ресурсам внутренней сети компании может быть выражена в одном из двух принципов:

· запрещать все, что не разрешено в явной форме;

· разрешать все, что не запрещено в явной форме.

В соответствии с выбранным принципом определяются правила обработки внеш-него графика межсетевыми экранами или маршрутизаторами. Реализация защи-ты на основе первого принципа дает более высокую степень безопасности, одна-ко при этом могут возникать большие неудобства у пользователей, а кроме того, такой способ защиты обойдется значительно дороже. При реализации второго принципа сеть окажется менее защищенной, однако пользоваться ею будет удоб-нее и потребуется меньше затрат.